Blog

Guia rápido para prevenir fraude de Account Takeover (empresas de cripto)

Contas de cripto são o alvo de ATO mais valioso de qualquer setor. Veja as melhores práticas, sinais de fingerprint e ferramentas que equipes de cripto usam para barrar ATO.

Apr 17, 2026 • 12 min read

Juan Combariza Growth Marketer

Melhores Práticas para Equipes de Cripto Barrarem Fraude de ATO - cside - capa do blog

Resumo

Contas de exchanges de cripto são o alvo de ATO de maior valor em qualquer setor. Os fundos comprometidos podem ser sacados em minutos e as transações são irreversíveis após confirmação on-chain. Não existe mecanismo de chargeback nem autoridade central para reverter a transferência.
ATO é custoso e está se acelerando. O FBI reportou US$ 11,4 bilhões em perdas por fraude com cripto em 2025. Mesmo plataformas grandes e consolidadas como Crypto[.]com e Coinbase sofreram ataques de account takeover bem-sucedidos nos últimos anos.
Dicas de defesa: Implante MFA que não dependa de SMS — use chaves de hardware ou aplicativos autenticadores. Além do MFA, utilize fingerprinting de dispositivo e sinais comportamentais para detectar credential stuffing e sinais precoces de comprometimento por ATO. Certifique-se de educar os usuários sobre métodos populares de phishing e como verificar canais de comunicação legítimos.
A maioria das plataformas de cripto combina quatro categorias de ferramentas: provedores de MFA (Okta, Auth0), fingerprinting de dispositivo e detecção de bots (cside, DataDome), plataformas antifraude criadas para cripto (Sardine) e forense de blockchain (Chainalysis, Elliptic).

Por que contas de cripto são um alvo prioritário de ATO

Gráfico - Por que contas de cripto são alvos de ATO - cside

Contas de exchanges de cripto são o alvo de ATO de maior valor em qualquer setor. Ao contrário de fraudes com cartão de crédito ou transferências bancárias, transações de criptomoeda não podem ser revertidas após confirmação on-chain, e é tecnicamente difícil rastrear para onde o dinheiro roubado flui.

ATOs em contas de cripto são imediatamente monetizáveis:

Saldos líquidos de cripto sacados para carteiras externas sem mecanismo de chargeback
Documentos de identidade de KYC (documentos de governo, selfies) vendidos para grupos de fraude
Chaves de API que permitem saques sem nem precisar da senha da conta

Negociação global 24/7 e milhões de transações mensais processadas também favorecem o atacante. A atividade das contas é ruidosa e pode estar sujeita a picos inesperados por notícias do mercado.

O que é fraude de account takeover em sites de cripto?

Perdas Anuais por Fraude em Cripto - Fonte: FBI, Relatório de Crimes na Internet 2025

A fraude de account takeover ocorre quando um atacante obtém acesso à conta de cripto de um usuário real e a utiliza para roubar fundos ou dados. Em cripto, isso geralmente significa que um atacante invade uma conta de exchange e saca ativos para uma carteira que ele controla.

Caminhos de ataque que levam a ATO em plataformas de cripto:

Credential stuffing a partir de senhas reutilizadas
SIM swapping, em que atacantes portam o número de telefone da vítima para um SIM que controlam e, em seguida, contornam o 2FA baseado em SMS. SIM swaps estiveram envolvidos em 35% dos roubos de cripto de alto valor nos EUA. O Cifas do Reino Unido reportou um aumento de 1.055% em SIM swaps não autorizados de 2023 a 2024.
Chaves de API roubadas de configurações de trading comprometidas
Extensões de navegador falsas que se passam por logins da MetaMask ou da carteira Coinbase
Engenharia social em equipes de suporte de exchanges para exfiltrar dados de clientes

A fraude de ATO aumentou continuamente desde 2020, e ataques conduzidos por agentes de IA usando navegadores furtivos estão acelerando esse processo.

Melhores práticas para empresas de sites de cripto barrarem fraude de account takeover

1. Imponha MFA mais forte além do SMS

Imponha MFA em contas com saldos, chaves de API ativas ou acesso a saques em moeda fiduciária.
Acione verificação step-up para logins incomuns. Exija reautenticação para ações de alto risco: alterações de endereço de saque, criação de chave de API, transferências grandes.
Defina como padrão aplicativos autenticadores ou chaves de hardware. Nunca SMS como fator primário. Ataques de SIM swap tornam o 2FA baseado em SMS uma vulnerabilidade grave em plataformas de cripto.

2. Proteja a redefinição de senha e a recuperação de conta tanto quanto o login

Limite a taxa de solicitações de redefinição. Uma rajada de tentativas de redefinição de senha visando múltiplas contas é um sinal de credential stuffing.
Implemente um período de bloqueio de saques após qualquer ação de recuperação de conta. Se uma senha foi recém-redefinida ou um método de 2FA foi alterado, congele as transferências de saída por 24–72 horas. Para usuários que precisam fazer uma transação urgente antes do fim do bloqueio, peça que entrem em contato com o suporte por telefone para reverificação e realizem a transação sob supervisão.

3. Monitore sinais de fraude de ATO com detecção baseada em risco

Avalie sinais de dispositivo e navegador: Fingerprinting de dispositivo, configuração do navegador e resolução de tela criam uma linha de base para cada usuário. Desvios sinalizam possível comprometimento.
Observe sinais de rede: Uso de VPN, detecção de proxy, reputação de IP e incompatibilidades de geolocalização adicionam contexto.
Combine com atividade da conta: Uma conta que faz login e imediatamente altera a whitelist de saques ou cria uma nova chave de API é muito diferente de uma atividade normal de trading.

Observação: Usuários de cripto usam VPNs de forma legítima em taxas muito mais altas do que outros setores. Combine a detecção de VPN com fingerprinting de dispositivo e comportamento. Não trate o uso de VPN isoladamente como um sinal de risco.

4. Detecte credential stuffing e abuso automatizado de login cedo

Credential stuffing e testes de conta conduzidos por bots são constantes em plataformas de cripto. Agora que clientes legítimos utilizam agentes de "ação do usuário" (crescimento de 15x em 2025) com ferramentas de LLM, esses ataques são mais difíceis de detectar, pois agentes de IA contornam CAPTCHAs e defesas padrão contra bots.

Proxies residenciais tornam a reputação de IP menos confiável, pois os atacantes rotacionam por IPs limpos.
Combine fingerprinting TLS, consistência de dispositivo, sinais de velocidade e honeypots para proteção contra abuso de bots conduzido por agentes de IA.
Exchanges de cripto lidam com tráfego massivo de bots legítimos (trading algorítmico, market making, arbitragem). Por isso, sinais comportamentais avançados (navegação de sessão, velocidade de digitação, adulteração de navegador) distinguem credential stuffing de automação legítima.

5. Crie playbooks de resposta para suspeitas de ATO

Desafie: Apresente autenticação step-up para dar ao titular real da conta um caminho de retorno.
Notifique: Alerte o cliente por todos os canais disponíveis (e-mail, push, SMS) mesmo que ele não esteja logado.
Bloqueie: Congele saques, uso de chaves de API, alterações de whitelist e saídas para moeda fiduciária em contas sinalizadas. Em cripto, bloquear saques é a ação de maior prioridade por causa da irreversibilidade.
Investigue: Revise o que foi alterado durante a sessão (novos endereços de saque, chaves de API criadas, métodos de 2FA modificados).

Ironicamente, se passar por canais de suporte e pedir que usuários se reautentiquem é um dos métodos de ataque mais comuns usados por agentes maliciosos em ATO de cripto. Por isso, você precisa ter uma forma de os clientes verificarem que seus alertas de ATO são legítimos. A Crypto[.]com usa um portal de confiança.

6. Revise padrões históricos e ajuste os limiares por ciclo de mercado

Mercados em alta, grandes lançamentos de tokens e halvings geram picos de negociação que alteram o comportamento de linha de base.

Ajuste as regras antes de eventos antecipados. Reajuste após cada período de alto volume.

7. Certifique-se de que seu próprio site não está roubando credenciais de usuários

Injeções de código podem sequestrar formulários de login, interfaces de trading e fluxos de conexão de carteira. Ataques no estilo Magecart sozinhos comprometeram mais de 23 milhões de transações em 2025.

Monitore continuamente seus scripts de terceiros e próprios: Bibliotecas de gráficos, embeds do TradingView, widgets de verificação de KYC e SDKs de carteira introduzem código que você não controla. Qualquer um deles pode ser comprometido e transformado em um ponto de entrada para skimming.
Use uma plataforma de segurança web como o cside: A Segurança Client-side do cside monitora exfiltração de dados ou injeções de código direcionadas a páginas de login ou interfaces de trading que facilitam phishing e roubo de credenciais.

Melhores ferramentas de prevenção de account takeover para empresas de sites de cripto

Nenhuma ferramenta cobre todos os ângulos da prevenção de ATO. A maioria das plataformas de cripto usa uma combinação de soluções em quatro categorias:

MFA / verificação de identidade: Para cripto, chaves de hardware (YubiKey) e aplicativos autenticadores (Google Authenticator, Authy) devem ser o padrão, não SMS. O Okta Adaptive MFA e o Auth0 são opções empresariais sólidas.
Fingerprinting / detecção de bots: Analise sinais de dispositivo, navegador e comportamento por trás de cada sessão para detectar abuso automatizado e sinais precoces de ATO. Crítico para cripto porque a detecção precisa separar bots de trading legítimos de automação maliciosa. cside e DataDome são opções sólidas aqui.
Suítes antifraude: Plataformas que pontuam o risco em login, transação e atividade pós-login. O Sardine é desenvolvido especificamente para cripto e fintech.
Forense de blockchain / monitoramento de transações: Exclusivo para cripto, essas ferramentas monitoram a atividade on-chain em busca de padrões suspeitos de saque, movimentação de fundos para serviços de mixing ou transferências para endereços sancionados. Chainalysis e Elliptic são populares nesse espaço.

Por que account takeover importa para sites de cripto

ATO em cripto carrega uma severidade financeira maior do que em quase qualquer outro setor porque não existe mecanismo de reversão:

Perdas por fraude: Atacantes drenam saldos de criptomoeda para carteiras externas. Sem chargeback, sem bloqueio, sem recuperação. Uma única conta comprometida pode perder seis dígitos em minutos. O FBI reportou US$ 11,4 bilhões em perdas por fraude com cripto em 2025 (um recorde histórico).
Exposição de dados de KYC: Contas comprometidas vazam documentos de identidade do governo, selfies e comprovantes de endereço. Esses dados são vendidos para fraude de identidade e criam responsabilidade regulatória sob o GDPR, CCPA e frameworks de KYC/AML.
Multas regulatórias: Plataformas de cripto enfrentam fiscalização crescente. FinCEN, MiCA e BitLicense exigem controles de segurança de conta.
Confiança do cliente e viabilidade da plataforma: Em cripto, danos à confiança são existenciais. Usuários que perdem fundos por ATO podem migrar para autocustódia em uma carteira de hardware sem nunca retornar à plataforma. 42% das vítimas de ATO cancelam sua conta na plataforma onde o incidente ocorreu.
Custos de suporte e operações: Solicitações de recuperação de conta, revisões manuais de saques, tratamento de disputas e coordenação com autoridades policiais. Picos de ATO podem sobrecarregar equipes de suporte já sobrecarregadas.

Exemplos reais de ataques de ATO em sites de cripto

Onda de engenharia social na Coinbase (2024–2025): Em 2024–2025, a Coinbase divulgou que agentes de suporte no exterior foram subornados para exfiltrar dados de clientes (nomes, documentos de identidade do governo, saldos de conta), que os atacantes usaram como arma em campanhas de engenharia social direcionadas. Mais de 69.000 clientes foram afetados. Os ataques custaram aos usuários uma estimativa de mais de US$ 300 milhões.

Bypass de 2FA na Crypto . com (janeiro de 2022): Em janeiro de 2022, atacantes contornaram a autenticação de dois fatores em 483 contas da Crypto.com e sacaram US$ 34 milhões (US$ 15 milhões em ETH, US$ 19 milhões em BTC). A empresa reembolsou todos os usuários afetados e migrou para uma infraestrutura de MFA completamente nova.

Exemplo de walkthrough de ataque de ATO em cripto:

Um trader reutiliza sua combinação de e-mail/senha em uma exchange de médio porte. Esse par de credenciais aparece em um dump de vazamento. Um atacante compra o dump e executa tentativas de login automatizadas contra a API da exchange. Um login é bem-sucedido. O atacante verifica a conta: ela está verificada por KYC com um limite diário de saque de US$ 50.000. Em minutos, ele altera a whitelist de saques, adiciona o próprio endereço de carteira e inicia uma transferência.

O papel do fingerprinting na detecção de account takeover

Credenciais são roubadas por meio de vazamentos. O MFA é contornado por SIM swaps e proxies de phishing. O fingerprinting de navegador opera em uma camada diferente, que lê sinais de dispositivo, navegador e sessão que os atacantes não controlam e não conseguem contornar.

Colete sinais que indicam ATO: Fingerprint do navegador, identificadores de hardware, propriedades de tela, metadados de rede. Padrões anormais (fusos horários incompatíveis, resoluções de tela inesperadas, marcadores de navegador headless) sinalizam possível comprometimento com antecedência.
Detecte atacantes de ATO de forma proativa: Um dispositivo percorrendo centenas de combinações de credenciais. Um navegador que declara um ambiente, mas opera em outro. Solicitações de login em velocidade sobre-humana a partir de proxies rotativos. O fingerprinting detecta assinaturas de credential stuffing que escapam de CAPTCHAs e limitadores de taxa.

Por que o cside é a melhor opção de fingerprinting para empresas de sites de cripto

Imagem do dashboard de atividade de sessão de fingerprint do cside

O cside combina fingerprinting de navegador com monitoramento de integridade de JavaScript, oferecendo às empresas de cripto tanto detecção de ATO quanto proteção contra web skimming em uma única plataforma.

Detecção de bots de IA maliciosos: Detecta navegadores headless e agentes movidos por IA que contornam as defesas tradicionais contra bots para realizar credential stuffing. Importante para plataformas de cripto onde bots de trading legítimos criam ruído que mascara a automação maliciosa.
Protege as páginas que os atacantes mais visam: Protege formulários de login, interfaces de trading e portais de verificação de KYC contra ataques client-side relacionados a skimming e sequestro de sessão. O cside é uma solução líder para monitoramento de scripts do PCI DSS 4.0.1.
Monitoramento de scripts de terceiros: Monitora cada script servido aos usuários (bibliotecas de gráficos, embeds, widgets de KYC, SDKs de conexão de carteira, tags de analytics) para identificar quando algum deles começa a roubar credenciais ou tokens de sessão.
Integração voltada para desenvolvedores: Sinais brutos de fingerprint via API para regras de fraude personalizadas, além de agrupamentos de sinais curados prontos para uso imediato. Equipes de fraude em cripto frequentemente precisam de flexibilidade para moldar ferramentas antifraude em torno de elementos únicos da plataforma.

Para começar, cadastre-se ou agende uma demonstração.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Comece com MFA que não dependa de SMS, como chaves de hardware ou aplicativos autenticadores. Reforce os fluxos de recuperação de conta, não apenas o login, porque uma redefinição de senha seguida de um saque imediato é um padrão comum de ATO em cripto. A partir daí, adicione camadas de fingerprinting de dispositivo e sinais comportamentais para detectar sinais de logins suspeitos com antecedência.

Os sinais mais fortes são no nível do dispositivo: um login de um fingerprint não reconhecido, um ambiente de navegador que não corresponde ao user agent declarado, ou o mesmo dispositivo acessando múltiplas contas em um curto intervalo. Tenha cuidado com flags de VPN — usuários de cripto usam VPNs de forma legítima em taxas muito mais altas do que outros setores. Combine esses sinais com a atividade da conta. Uma conta que imediatamente altera a whitelist de saques ou cria uma nova chave de API é um sinal de alerta.

O cside oferece uma API de fingerprinting que retorna sinais de dispositivo, navegador e rede que você pode alimentar diretamente no seu próprio sistema de pontuação de risco. Para plataformas de cripto, isso é particularmente útil para criar regras personalizadas que levem em conta os padrões da sua base de usuários. O cside também monitora injeções de scripts relacionadas a phishing e roubo de credenciais que APIs de fingerprinting isoladas ignoram completamente.

Em janeiro de 2022, atacantes contornaram o 2FA em 483 contas da Crypto.com e sacaram US$ 34 milhões.

Contas de cripto são o alvo de ATO de maior valor em qualquer setor, porque os fundos comprometidos podem ser sacados em minutos e as transações são irreversíveis após confirmação on-chain. Documentos de KYC, como passaportes, são vendidos separadamente na dark web por US$ 500–US$ 800.

Ataques de SIM swap existem especificamente para explorar a autenticação baseada em SMS. O atacante porta o número de telefone da vítima para um SIM que ele controla e, em seguida, intercepta todos os códigos de verificação e redefinições de senha enviados por mensagem de texto.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.

Uma janela de navegador a dissolver-se num fluxo de partículas de luz azul sobre um fundo escuro

A IA está a comprimir o ciclo de exploração: o zero-day desenvolvido por IA da Google e o que isso significa para os navegadores

A Google sinalizou um zero-day que acredita ter sido criado por IA. A verdadeira mudança não é o phishing, é a rapidez com que chega ao navegador.

Tokens de sessão atravessando uma barreira de segurança do navegador em direção a sinais de fingerprint do dispositivo

A sessão do navegador virou um plano de controle de segurança. Os atacantes sabiam disso há anos.

A proposta DBSC do Google valida uma mudança clara: sessões do navegador precisam validar o dispositivo depois do login.

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.